McAfee participe au démantèlement de Beebones
La lutte contre les botnets bat son plein à travers le monde. Ce mois-ci, c’est Beebone qui a été mis hors d’état de nuire grâce à la collaboration des autorités européennes et d’acteurs privés, dont McAfee.
Une menace polymorphe éradiquée
Particulièrement virulent, Beebone avait réussi à contaminer plus de 12.000 ordinateurs, mais ce chiffre est certainement sous-estimé, selon le J-Cat, un groupe spécial monté par Europol pour lutter contre la cybercriminalité. De plus, ce botnet n’était que l’un des multiples supports utilisés par le malware AAEH pour répandre son virus. En 2014, McAfee avait estimé à 100.000 le nombre d’infections liées à ce programme malveillant, les États-Unis étant la cible principale.
Même si sa taille n’était pas exceptionnelle, la structure modulaire d’AAEH l’a rendu particulièrement agressif. Une fois installé sur une machine, ce ver informatique polymorphe évolue à grande vitesse à travers l’ensemble du réseau auquel il est connecté et télécharge des éléments complémentaires afin d’augmenter sa puissance. Parmi ces derniers, on recense le récupérateur de mots de passe bancaires bien connu ZBot, le rootkit ZeroAccess, ainsi qu’une poignée de faux antivirus ainsi que des « rançongiciels », également fortement populaires auprès des pirates à l’heure actuelle.
Cette capacité et le niveau de sophistication du logiciel utilisé expliquent les 5 millions de signatures qui seraient associées à ce malware, et les difficultés qui attendent les analystes et éditeurs de solutions de sécurité pour désinfecter l’intégralité des appareils touchés. En effet, en remontant la piste d’AAEH, McAfee a réussi à retracer les premiers signes dès 2009.
Une action internationale de grande envergure
Pour mener à bien cette opération de démantèlement, les experts se sont servis de la technique du Sinkhole, qui consiste à lister tous les noms de domaines et adresses IP que le malware a utilisés, ainsi que les outils que les hackers exploitent pour voler les données stockées dans les ordinateurs infectés.
À leur place, la coalition a déployé un centre de commande et contrôle sain afin que les machines infectées ne puissent pas télécharger insidieusement les mises à jour des malwares.
Ce type de malware devient d’ailleurs de plus en plus répandu et de plus en plus complexe, puisque pratiquement au même moment, les serveurs d’un autre réseau, Simda, ont également été saisis ou désactivés dans plusieurs pays.
Toutefois, le démantèlement du botnet n’a été suivi d’aucune arrestation de cybercriminel, l’enquête suit son cours. En attendant, pour se débarrasser de Beebone, il faut recourir aux solutions des grands éditeurs.